8

最初の質問をする初心者:)

SpamAssassin を使用してメール サーバー (Ubuntu/Postfix/Dovecot) を実行しています。「order_info_654321.zip」、「paymet_document_123456.zip」など、他の SA ルールに適合しない場合に、添付の zip ファイルに含まれるこの特定のマルスパムを除いて、既知のスパムのほとんどにフラグが付けられます (RBL、および明らかな UCE)。 . 一致する違反者を忘却に落とすルールを入手したいと思います。

regex101.comをいじった後、これらのパターンのみに一致する式を思いつきました。

/\w+[_][0-9]{6}.zip$/img

質問は...すべてをフォーマットし、機能させる方法と、どこに置くかです。これまでのところ、 を編集し/etc/spamassassin/local.cf、これを一番下に追加して、再起動しました。

mimeheader TROJAN_ATTACHED Content-Type =~ /\w+[_][0-9]{6}.zip$/img
describe ZIP_ATTACHED email contains a zip trojan attachment
score TROJAN_ATTACHED 99.

しかし、それは魔法をしていないようです。他にどこでこれを探すことができますか?

皆さん、ありがとう、京城。

4

3 に答える 3

2

正規表現が間違っています。$ファイル名文字列は必ずしもContent-Typeヘッダーの最後にあるとは限らないため、最後に charは必要ありません。\b代わりに、単語境界アンカーを使用できます。私のルールでは、次のことがあり、完全に機能します。

mimeheader MIME_FAIL   Content-Type =~ /\.(ade|adp|bat|chm|cmd|com|cpl|exe|hta|ins|isp|jse|lib|lnk|mde|msc|msp|mst|pif|scr|sct|shb|sys|vb|vbe|vbs|vxd|wsc|wsf|wsh|reg)\b/i
describe   MIME_FAIL   Blacklisted file extension detected
score      MIME_FAIL   5
于 2017-01-11T18:59:13.093 に答える